ssh-agent: jangan teruskan otentikasi untuk seluruh keyring

10

Saya punya dua kunci ssh pribadi:

  • satu untuk mengakses mesin pribadi saya ,
  • satu untuk mengakses server di pekerjaan saya .

Saya menambahkan dua kunci ke ssh-agent saya dengan ssh-add.

Sekarang, ketika saya melakukannya, ssh -A root@jobsrvsaya ingin meneruskan otentikasi agen hanya untuk kunci pekerjaan saya (yang saya gunakan untuk menghubungkan jobsrv).

Saya menginginkan ini karena siapa pun yang memiliki akses root untuk jobsrvdapat menggunakan agen saya untuk mengautentikasi dirinya ke mesin pribadi saya.

Apakah ada cara untuk mencapai isolasi ini?

Totor
sumber
apakah Anda memeriksa opsi -i di halaman manual ssh?
Seorang manusia
1
@Stillakid ya, ssh -A -i myjobkey_rsa root@jobsrvmasih memungkinkan mesin jobsrv untuk mengakses agen mesin lokal saya dan mengautentikasi pada server personnal saya dengan kunci (personnal) lainnya ...
Totor
juga memeriksa ssh-keysign?
Manusia

Jawaban:

2

Untuk memaksa ssh(1)menggunakan kunci tertentu meskipun ssh-agent(1)menawarkan banyak, gunakan perintah IdentityFiledan IdentitiesOnlydirektifkan ~/.ssh/config, misalnya:

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Lihat ssh_config(5)detailnya.

mjhennig
sumber
Ini tidak bekerja . IdentitiesOnlyberlaku ketika Anda mencoba terhubung ke server jarak jauh. Setelah Anda terhubung, jika -Apenerusan agen diaktifkan, seluruh keyring diteruskan.
Totor
Keyring tidak diteruskan. Ini adalah permintaan auth yang diteruskan dalam .
bahamat
@ Bahat Tentu, kesalahan saya. Namun, solusi ini tidak berhasil.
Totor
2

Sayangnya, saya percaya tidak mungkin untuk mencapai ini dengan mudah pada saat ini . Satu bisa menggunakan dua agen (satu untuk setiap kunci) sehingga tidak ada agen yang memegang setiap kunci. Tapi ini akan cukup merepotkan untuk dikerjakan.

Inilah sebabnya mengapa laporan bug (peningkatan) telah dibuka. Ada laporan serupa ini juga.

Totor
sumber